Σύμφωνα με αναφορά της εταιρίας ασφαλείας Ζscaler, περισσότερες από 90 κακόβουλες Android εφαρμογές εντοπίστηκαν πρόσφατα στο Google Play, οι οποίες έχουν συνολικά κατεβεί πάνω από 5,5 εκατομμύρια φορές. Εξαιτίας αυτών, το τραπεζικό trojan Anatsa, γνωστό και ως “Teabot,” έχει παρουσιάσει σημαντική αύξηση στη δραστηριότητά του τελευταία, αποτελώντας σοβαρή απειλή για την ασφάλεια των χρηστών.

Το Anatsa στοχεύει πάνω από 650 εφαρμογές χρηματοπιστωτικών ιδρυμάτων στην Ευρώπη, τις ΗΠΑ, το Ηνωμένο Βασίλειο και την Ασία, επιδιώκοντας να κλέψει τους e-banking κωδικούς των χρηστών και να πραγματοποιήσει απάτες. Σύμφωνα με την Threat Fabric, από τα τέλη του 2023, το Anatsa έχει μολύνει τουλάχιστον 150.000 συσκευές μέσω του Google Play, χρησιμοποιώντας παραπλανητικές εφαρμογές για να εξαπλωθεί. Ειδικότερα, τον τελευταίο καιρό το Anatsa επέστρεψε στο Google Play μέσω δύο παραπλανητικών εφαρμογών: το ‘PDF Reader & File Manager’ και το ‘QR Reader & File Manager,’ που συνδυαστικά είχαν συγκεντρώσει 70.000 λήψεις.

Σε περίπτωση που έχετε κατεβάσει τις εφαρμογές που φαίνονται στις παρακάτω εικόνες προτείνεται να τις διαγράψετε άμεσα από τις συσκευές σας.

Ο συγκεκριμένος ιός κάνει χρήση ενός εξαιρετικά σύνθετου multi-stage payload loading μηχανισμού που του επιτρέπει να αποφεύγει την ανίχνευση. Αυτή η διαδικασία περιλαμβάνει αρχικά την ανάκτηση δεδομένων διαμόρφωσης από έναν server και έπειτα την λήψη κακόβουλου κώδικα, την ανάκτηση ενός αρχείου διαμόρφωσης με το URL του payload του trojan και τελικά την εγκατάσταση του κακόβουλου λογισμικού. Επιπλέον, το DEX αρχείο πραγματοποιεί ελέγχους κατά της ανάλυσης για να αποφύγει την εκτέλεση του κακόβουλου κώδικα σε περιβάλλοντα sandbox ή εξομοίωσης. Μόλις ενεργοποιηθεί, το Anatsa σαρώνει το κινητό του χρήστη και στη συνέχεια κατεβάζει ειδικές επιθέσεις που είναι προσαρμοσμένες στο προφίλ του θύματος!

Συνολικά, η Zscaler εντόπισε πάνω από 90 άλλες κακόβουλες εφαρμογές τους τελευταίους μήνες, που παρουσιάζονται ως εργαλεία, εφαρμογές προσωποποίησης και βοηθητικά προγράμματα. Αυτές οι εφαρμογές ανήκουν σε πέντε κυρίαρχες οικογένειες κακόβουλου λογισμικού: τα Joker, Facestealer, Anatsa, Coper και διάφορα adware. Αν και τα Anatsa και Coper αντιπροσωπεύουν μόνο το 3% των κακόβουλων λήψεων, είναι εξαιρετικά επικίνδυνα, ικανά να πραγματοποιήσουν απάτες στη συσκευή και να κλέψουν ευαίσθητες πληροφορίες. Τα ονόματα των άλλων κακόβουλων εφαρμογών παραμένουν άγνωστα, αλλά οι δύο προαναφερθέντες που είχαν τον Anatsa ιό έχουν αφαιρεθεί από το Google Play.

Συνιστάται, λοιπόν, στους χρήστες να εξετάζουν προσεκτικά τις άδειες που ζητάνε οι εφαρμογές που κατεβάζουν. Πρέπει να είναι ειδικότερα πολύ προσεκτικοί με τις εφαρμογές που ζητάνε άδειες ανάγνωσης των SMS και πρόσβαση στο Accessibility Service του λειτουργικού συστήματος.